OrBit и Medusa: один код, четыре года, три группировки - открытый руткит стал инструментом кибершпионажа и вымогателей

OrBit работает как разделяемая библиотека (файл .so), которая закрепляется в системе через модификацию динамического компоновщика. После установки руткит перехватывает более сорока функций libc, чтобы скрыть файлы, процессы и сетевые соединения от администраторов и защитных решений. Злоумышленник подключается к скомпрометированному хосту по SSH, а руткит собирает учётные данные из попыток входа и команд sudo, сохраняя их локально. При этом сам руткит не имеет собственного канала управления: до 2025 года все его версии оставались пассивными имплантами.

Исследователи проанализировали более десятка образцов OrBit, загруженных на VirusTotal с 2022 по 2026 год. Их работа показала, что всё это время существовали две параллельные линии сборки. Первая, Lineage A, включала полный набор возможностей из Medusa: перехват PAM, скрытие TCP-портов, захват сетевого трафика (pcap) и расширенные функции обхода аудита. Вторая, Lineage B, представляла собой облегчённый форк, в котором отсутствовали целые блоки - в частности, кража паролей через PAM и скрытие портов. Эта линия исчезла после 2024 года, уступив место основной.

Ключевое открытие: все "нововведения", которые появлялись в OrBit год от года, на самом деле уже были в исходном коде Medusa на момент публикации. Так, функция xread (обёртка системного вызова read, предотвращающая сбои в работе программ) появилась в OrBit в 2023 году, но её код лежал в файле rknet.c репозитория Medusa. Аналогично обстоит дело с перехватом syslog-аудита (2024) и внедрением на стороне сервиса PAM (2025). Операторы OrBit просто изменяли Makefile, чтобы включить в сборку нужные модули, а не писали новые функции.

Но самое интересное - это разнообразие операторов, использующих один и тот же код. Intezer в своём отчёте за 2026 год прямо связывает OrBit с группировкой BLOCKADE SPIDER, занимающейся вымогательством, в частности с программой-вымогателем Embargo. Аналитики Mandiant, в свою очередь, отслеживают UNC3886, который применяет ту же самую сборку Medusa (с ключом XOR 0xAA, учётными данными Y0u4reCu6e/1qaz@WSX3edc123 и путём установки /lib/locate/) против Juniper и VMware. Причём внутри бинарника UNC3886 сохранилась строка "orbit" - прямое указание на связь.

Третья линия операторов проявилась в 2025 году, когда появился новый дроппер (программа-установщик) с двухстадийной цепочкой заражения: инжектор → дроппер → руткит. Этот инжектор не только закрепляется через cron, но и впервые добавляет руткиту внешний канал управления - команда wget загружает скрипт с домена cf0[.]pw, который, как выяснилось, использовался ещё в 2020 году в кампании ботнета RHOMBUS. Архитектура дроппера полностью совпадает с той, что описывалась в отчётах APNIC, а IP-адреса разрешаются в российскую инфраструктуру. Таким образом, один и тот же код OrBit оказался в руках как государственных хакеров, так и киберпреступников, занимающихся вымогательством или DDoS-атаками.

Что это означает для защитников? Атрибуция по имени вредоносной программы больше не работает. Обнаружив руткит OrBit, нельзя сразу определить, кто стоит за атакой. Вместо этого необходимо анализировать конфигурационные детали: значение ключа XOR, учётные данные SSH, пути установки, наличие или отсутствие тех или иных модулей. Три неизменных признака сборки Medusa могут помочь в детектировании. Во-первых, таблица строк, зашифрованных одинарным XOR-ключом, - её структура и большинство записей фиксированы исходным кодом, и любая сборка, независимо от ключа, будет содержать известный набор строк. Во-вторых, файловый скелет, создаваемый установщиком в рабочей директории: набор файлов вроде .logpam, sshpass.txt, .ports. В-третьих, вложенный ELF-образ, получаемый утилитой xxd -i, который несёт в себе второй исполняемый файл - сам руткит.

Эволюция OrBit - это не история активной разработки, а хроника использования общего инструмента. С 2022 по 2026 год ни одна версия не добавила принципиально новой функциональности, которая не была бы доступна в открытом исходнике Medusa. Операторы лишь меняли ключи, пути и пароли, переключали флаги компиляции. Это означает, что появление свежих образцов в 2026 году - не признак прогресса, а сигнал, что всё больше групп берут на вооружение готовый руткит. Защита от него должна строиться на инвариантах сборки и поведенческом анализе, а не на погоне за конкретными хешами.

SHA256

• 04c06be0f65d3ead95f3d3dd26fe150270ac8b58890e35515f9317fc7c7723c9
• 090b15fd8912cab340b22e715d44db079ec641db5e2f92916aa1f2bc9236e03e
• 26082cd36fdaf76ec0d74b7fbf455418c49fbab64b20892a873c415c3bb60675
• 296d28eb7b66aa2cbea7d9c2e7dc1ad6ce6f97d44d34139760c38817aec083e7
• 2b2eeb2271c19e2097a0ef0d90b2b615c20f726590bbfee139403db1dced5b0a
• 3ba6c174a72e4bf5a10c8aaadab2c4b98702ee2308438e94a5512b69df998d5a
• 40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020
• 4203271c1a0c24443b7e85cbf066c9928fcc69934772a431d779017fb85c9d73
• 48a68d0555f850c36f7d338b1a42ed1a661043cacf2ba2a4b0a347fac3cb3ee6
• 64a3ebd3ad3927fc783f6ac020d5a6192e9778fb16b51cceba06e4ee5416adff
• 73b95b7d1006caf8d3477e4a9a0994eaa469e98b70b8c198a82c4a12c91ad49a
• 84828f31d741f92ce4bca98cfc2148ff8cff6663e2908a025b1386dd4953ffef
• 8e83cbb2ed12faba9b452ea41291bcebdce08162f64ac9a5f82592df62f47613
• 8ea420d9aa341ba23cdea0ac03951bce866c933ba297268bc7db8a01ce8e9b8e
• 989f7eb4f805591839bcbc321dd44418eb5694d1342e37b7f24126817f10e37e
• a34299a16cf30dac1096c1d24188c72eed1f9d320b1585fe0de4692472e3d4dc
• a61386384173b352e3bd90dcef4c7268a73cd29f6ae343c15b92070b1354a349
• b1dd18a6a4b0c6e2589312bbec55b392a20a95824ffe630a73c94d24504c553d
• b85ed15756568b85148c1d432a8920f81e4b21f2bc38f0cf51d06ced619e0e77
• b982276458a85cd3dd7c8aa6cb4bbb2d4885b385053f92395a99abbfb0e43784
• d3d204c19d93e5e37697c7f80dd0de9f76a2fb4517ced9cafd7d7d46a6e285ba
• d419a9b17f7b4c23fd4e80a9bce130d2a13c307fccc4bfbc4d49f6b770d06d3b
• d7b487d2e840c4546661f497af0195614fc0906c03d187dc39815c811ea5ec3f
• ec7462c3f4a87430eb19d16cfd775c173f4ba60d2f43697743db991c3d1c3067
• eea274eddd712fe0b4434dbef6a2a92810cb13b8be3deca0571410ee78d37c9f
• f1612924814ac73339f777b48b0de28b716d606e142d4d3f4308ec648e3f56c8
• fc2e0cb627a00d0e4509bd319271721ea74fb11150847213abe9e8fea060cc8a